Amazon API Gateway のカスタムドメイン名での、DNS 解決または SSL 証明書の不一致に関するエラーを解決する方法を教えてください。

解決策

パブリック API カスタムドメインエラーを解決する

パブリック API Gateway API のカスタムドメイン名に接続するには、API Gateway エンドポイントにトラフィックをルーティングするように Amazon Route 53 を設定する必要があります。

カスタムドメイン名の DNS レコードを正しい API Gateway ドメイン名にマッピングしなかった場合、SSL 接続は失敗します。(SSL/TLS 証明書ではなく、デフォルトの *.execute-api.<region>.amazonaws.com の証明書が返されるため。)

DNS レコードが正しくマッピング済みかどうかを確認するには、次のコマンドを実行します。

nslookup custom-domain-name

注: custom-domain-name は、実際のカスタムドメイン名に置き換えます。

出力は API Gateway のドメイン名を返します。カスタムドメイン名が API Gateway のドメイン名と一致することを確認してください。Route 53 エイリアスレコードを使用して DNS をマッピングする場合、出力は IP アドレスを返します。IP アドレスが API Gateway ドメイン名の IP アドレスと一致することを確認してください。

プライベート API カスタムドメインエラーを解決する

プライベート API Gateway API のカスタムドメイン名に接続するには、トラフィックを仮想プライベートクラウド (VPC) エンドポイントの DNS 名にルーティングするように Route 53 を設定する必要があります。

DNS レコードが正しくマッピングされたかどうかを確認するには、次のコマンドを実行します。

nslookup custom-domain-name

注: custom-domain-name は、実際のカスタムドメイン名に置き換えます。

出力は、execute-api VPC エンドポイントのプライベート IP アドレスを返します。IP アドレスが API Gateway で設定した VPC エンドポイントのサブネットの IP アドレスと一致することを確認してください。

カスタムドメイン名と execute-api VPC エンドポイントとの間にドメイン名アクセスの関連付けが作成されたことを確認します。

ドメイン名アクセスの関連付けが作成済みかどうかを確認するには、次のコマンドを実行します。

curl https://custom-domain-name/resource-path

注: 実際のものでそれぞれ、custom-domain-name をカスタムドメイン名に、resource-path をリソースパスに置き換えます。

関連付けが作成済みの場合、出力は統合エンドポイントからの応答を返します。関連付けが作成済みではない場合、SSL 接続は失敗し、SSL: no alternative certificate subject name matches target host name (SSL: ターゲットのホスト名と一致する代替証明書のサブジェクト名はありません) というエラーメッセージが表示されます。

注: Route 53 でリージョナルまたはエッジ最適化パブリック API 用のカスタムドメイン名を設定する場合は、パブリックホストゾーンを作成する必要があります。パブリックアプリケーションで、ユーザーに使用を許可する必要のあるリソースがある場合は、パブリックホストゾーンを選択してください。

プライベート API 用のカスタムドメインを作成する場合、プライベートホストゾーンを作成し、クライアント VPC をそのホストゾーンにアタッチする必要があります。

Route 53 はレコードを使用して、ドメインのトラフィックをルーティングする場所を判別します。エイリアスレコードまたは CNAME レコードを使用できます。

関連情報

AWS Certificate Manager で証明書を準備する

API Gateway API にカスタムドメイン名を設定する方法を教えてください

API Gateway でカスタムドメイン名を別の API エンドポイントタイプに移行する